Megjelent az SZTFH rendelete a kiberbiztonsági audit végrehajtásáról

A 7/2024. (VI. 24.) SZTFH rendelet alapján a Szabályozott Tevékenységek Felügyeleti Hatósága fogja elvégezni a kiberbiztonsági audit végrehajtására jogosult auditorok nyilvántartását. A jogszabály szerint minden auditor cégnek rendelkeznie kell a következőkkel:

• két, meghatározott felsőfokú képesítéssel rendelkező szakértővel
• információbiztonsági szabályzattal, valamint tanúsított információbiztonsági irányítási rendszerrel
• a vizsgálat lefolytatásához szükséges biztonságos infrastruktúrával
• törlési eljárásrenddel

A feltételek függenek attól, hogy milyen biztonsági osztályba sorolt rendszerekre kívánja végezni az auditor a tevékenységet. Ez alapján két csoport különíthető el:

• alap biztonsági osztály: két szakértőre, minimum 15 millió forintos felelősségbiztosításra és 5 auditálási referenciára van szükség
• jelentős biztonsági osztály: tíz szakértőre, 50 millió forintos felelősségbiztosításra és 15 referenciára van szükség

Minden potenciális auditornak szerepelnie kell az Alkotmányvédelmi Hivatal nyilvántartásában, annak viszont előfeltétele a telephelybiztonsági tanúsítvány (tbt).

A 7/2024. (VI. 24.) MK rendelet a biztonsági osztályba sorolás követelményeiről és az alkalmazandó konkrét védelmi intézkedésekről szól, amely a Miniszterelnöki Kabinetirodát vezető miniszter által kerül kiadásra.

A rendelet 2. melléklete a következő kategóriákat határozza meg a védelmi intézkedésekhez:

• programmenedzsment
• hozzáférés-felügyelet
• tudatosság és képzés
• naplózás és elszámoltathatóság
• értékelés, engedélyezés és monitorozás
• konfigurációkezelés
• készenléti tervezés
• azonosítás és hitelesítés
• biztonsági események kezelése
• karbantartás
• adathordozók védelme
• fizikai és környezeti védelem
• tervezés
• személyi biztonság
• kockázatkezelés
• rendszer- és szolgáltatásbeszerzés
• rendszer és kommunikációvédelem
• rendszer- és információsértetlenség
• ellátási lánc kockázatkezelése